Дисциплина: Кибербезопасность предприятия
Астраханцева Анастасия
Ганина Таисия
Ибатулина Дарья
Шошина Евгения
Кадирова Мехрубон
Хассан Факи Абакар
Группа НФИбд-01-22
Российский университет дружбы народов, Москва, Россия
30 сентября 2025
Целью лабораторной работы является изучение методов обнаружения, анализа и устранения последствий компьютерных атак в сегменте автоматизированных систем управления технологическим процессом (АСУ ТП) на базе программного комплекса “Ampire”. Работа направлена на формирование навыков защиты данных от внешних нарушителей, использующих уязвимости в программном обеспечении, и освоение инструментов мониторинга сетевой безопасности, таких как ViPNet IDS NS, ViPNet TIAS и Security Onion.
Для обнаружения и анализа атак использовались средства ViPNet IDS NS. Были зафиксированы следующие ключевые инциденты, соответствующие этапам атаки
Для блокировки доступа к конфигурационному файлу axis2.xml и предотвращения эксплуатации уязвимости CVE-2010-0219 в межсетевой экран iptables было добавлено специальное правило
Для полной проверки с помощью утилиты ss было выявлено
установленное соединение с IP-адресом злоумышленника
195.239.174.11 на порт 7777, связанное с
процессом evil.conf (PID 8367). Данное
соединение является обратным shell-соединением (backdoor), установленным
нарушителем, и подлежало немедленному завершению.
evil.confБыла реализована блокировка сетевого трафика (в Manager Workstation) для уязвимой программы CoolReaderPDF, что является ключевой мерой по предотвращению дальнейшего распространения вредоносного кода и установления обратных соединений с машиной злоумышленника
После открытия командной строки была выполнена команда
netstat -bno, которая выводит список всех TCP-соединений
вместе с именами процессов и их PID. Для устранения угрозы была
выполнена команда: taskkill /f /pid 5348. Эта команда
принудительно (/f) завершает процесс с идентификатором
5348.
Для проведения работ по защите SCADA-сервера необходимо было получить удалённый доступ к нему. Для этого был использован менеджер паролей KeePass.
Далее был запущен “Windows security center”: в меню “Пуск” - “Accessories” - “System Tools” - “Security center”.
На вкладке “Исключения” брандмауэра виден список правил, для которых мы убрали из исключений IGSS Dataserver. Эти правила были использованы злоумышленником для эксплуатации уязвимости.
Команда netstat -bno (рис. @fig:030) выявила установленное TCP-соединение между SCADA-сервером (10.10.3.10:1163) и IP-адресом злоумышленника (195.239.174.11:28002). Процесс, ответственный за соединение, — IGSSdataServer.exe (PID 2484).
В ходе выполнения лабораторной работы был успешно отработан сценарий комплексной кибератаки на сегмент АСУ ТП и проведены мероприятия по её обнаружению и нейтрализации.